Ідентифікатор події 4740: обліковий запис користувача було заблоковано [виправити]

Знайти джерело події важливо для вирішення проблеми

Якщо обліковий запис користувача заблоковано, ідентифікатор події 4740 додається до контролерів домену, а на клієнтських комп’ютерах з’являється подія з ідентифікатором 4625. Він генерується, коли

обліковий запис заблоковано через занадто багато невдалих спроб.

Подія містить усю інформацію про обліковий запис користувача, який було заблоковано, час блокування та джерело невдалих спроб входу (ім’я комп’ютера абонента).

У цьому посібнику ми обговоримо всі причини події ID 4740 і як знайти джерело блокування облікового запису.

Порада

Ідентифікатор події блокування облікового запису може відрізнятися залежно від версії Windows і використовуваного продукту безпеки.

Що спричиняє ідентифікатор події 4740, обліковий запис користувача може бути заблоковано?

Існують різні причини для створення події. Тут згадуються деякі з популярних:

• Забагато невдалих спроб входу - Якщо користувач вводить неправильний пароль кілька разів, їх обліковий запис може бути заблоковано, щоб припинити подальші спроби.
• Термін дії пароля – Обліковий запис може бути заблоковано, якщо термін дії пароля користувача минув, доки він не скине свій пароль.
• Параметри групової політики – Можливо, ваша організація встановила Параметри групової політики які блокують облікові записи користувачів після певної кількості невдалих спроб входу або через певний час.

Що я можу зробити, щоб визначити джерело блокування облікового запису Event ID 4740?

1. Увімкніть аудит для події 4740

1. Натисніть на Пошук значок, вид Керування груповою політикоюі натисніть ВІДЧИНЕНО.
2. Під Доменклацніть правою кнопкою миші Політика контролерів домену за замовчуванням і виберіть Редагувати.
3. Тепер у наступному вікні пройдіть цим шляхом: Computer Configuration\Policies\Windows Settings\Security Settings\Advanced Audit Policy Configuration\Audit Policies\Account Management
4. На правій панелі двічі клацніть на Аудит керування обліковими записами користувачів.
5. Поставте галочку Успіх і провал на Аудит властивостей керування обліковим записом користувача вікно.
6. Натисніть Застосувати і в порядку.

2. Використовуйте PowerShell, щоб знайти роль емулятора PDC 

1. Натисніть на Пошук значок, вид PowerShellі натисніть ВІДЧИНЕНО.
2. Введіть таку команду, щоб дізнатися контролер домену, який виконує роль PDC, і натисніть Enter: get-addomain | виберіть PDCEmulator
3. Щоб знайти події блокування, скопіюйте та вставте таку команду та натисніть Enter: Get-WinEvent -FilterHashtable @{logname=’security’; id=4740}
4. Щоб відобразити деталі події, скопіюйте та вставте таку команду та натисніть Enter: Get-WinEvent -FilterHashtable @{logname=’security’; id=4740} | пов
5. Ви отримаєте список подій входу.

3. Використовуйте засіб перегляду подій

• Натисніть на Пошук значок, вид Переглядач подійі натисніть ВІДЧИНЕНО.
• На лівій панелі перейдіть до Журнали Windows, а потім натисніть Безпека.
• На правій панелі виберіть Фільтр поточного журналу.
• Пошук 4740 і натисніть в порядку.
• Ви отримаєте список подій Натисніть на подію та перевірте деталі джерела.

1. Завантажте та встановіть LockoutStatus.exe
2. Натисніть на Пошук значок, вид статус блокуванняі натисніть ВІДЧИНЕНО.
3. Додаток перевірить усі події блокування з усіма випадками, джерелами та додатковою інформацією.

Використовуючи безкоштовний інструмент усунення несправностей Active Directory, наприклад NetTools допомагає усунути неполадки, оновити запити та повідомити про Active Directory та інші каталоги Lightweight Directory Access Protocol. Це портативний виконуваний файл, який дозволяє переглядати дозволи Active Directory і вирішувати проблеми з ними.

NetTools здійснює пошук у журналах подій, щоб знайти події, пов’язані з обліковим записом на вибраному контролері домену. Крім того, він може знаходити журнали подій будь-яких членських серверів у ланцюжку автентифікації та може відображати інформацію, пов’язану з причиною блокування. Щоб дізнатися джерело, виконайте такі дії:

1. Завантажити NetTools.
2. Розпакуйте файл zip і запустіть виконуваний файл.
3. Інструмент запуститься на лівій панелі; у розділі Користувачі виберіть Останній вхід.
4. Введіть Ім'я користувача і сервер, і натисніть Іди.
5. NetTools покаже вам усі дані для входу.
6. Відсортуйте результати за допомогою Стовпець BadPwd. Перший запис у списку буде датою останнього блокування облікового запису.
7. Щоб переглянути деталі, клацніть правою кнопкою миші контролер домену з попереднім часом блокування та виберіть Показати подробиці події.

Отже, це найпростіші способи дізнатися джерело блокування облікового запису ідентифікатор події 4740. Отримавши джерело, ви зможете легко вжити заходів, щоб цього не сталося.

Ви вже пробували деякі з цих рішень? Або, можливо, ви знаєте інші методи вирішення цього ідентифікатора події Windows? Не соромтеся поділитися з нами своїм досвідом через розділ коментарів нижче.